Sinasamantala ng Russian Cyberspies ang Proximity sa Innovative Wi-Fi Attack

Isang grupo ng cyberespionage ng Russia ang nagsagawa ng talino sa pag-hack sa isang mapanganib na bagong antas gamit ang isang pamamaraan na tinatawag na "Nearest Neighbor Attack." Ang pamamaraang ito, na natuklasan ng cybersecurity firm na Volexity, ay nagpapakita kung paano ang mga Advanced Persistent Threat (APT) na grupo tulad ng APT28 (kilala rin bilang Fancy Bear) ay nagbabago ng kanilang mga taktika upang i-bypass kahit ang matatag na mga hakbang sa seguridad.

Sa nakakapanghinayang sitwasyong ito, pinasok ng mga Russian hacker ang Wi-Fi network ng isang biktima hindi sa pamamagitan ng direktang paglabag dito, ngunit sa pamamagitan ng pagkompromiso sa isang organisasyong matatagpuan sa kabilang kalye. Itinatampok ng insidente ang lumalaking pangangailangan para sa pagbabantay patungkol sa madalas na hindi napapansin na mga panganib ng mga Wi-Fi network.

Ang Anatomya ng Pag-atake

Nagsimula ang pag-atake sa isang klasikong kampanya sa pag-spray ng password. Ang mga hacker ay nakakuha ng mga kredensyal para sa isang serbisyong ginagamit ng kanilang pangunahing target, na tinutukoy bilang "Organisasyon A." Gayunpaman, ang kanilang mga paunang pagsisikap ay nahadlangan ng multi-factor authentication (MFA), na pumipigil sa kanila sa pagsasamantala sa mga kredensyal na ito.

Hindi napigilan, inilipat ng mga hacker ang pagtuon sa isang kalapit na gusali na nagtataglay ng pangalawang entity, "Organisasyon B." Sa pamamagitan ng pagkompromiso sa isang device sa network ng Organization B na may parehong wired Ethernet na koneksyon at aktibong Wi-Fi adapter, ang mga umaatake ay nakapasok sa Wi-Fi network ng Organization A. Ang pangkat ng cyberespionage ay hindi huminto doon: nakompromiso din nila ang isang ikatlong entity, "Organization C," na nagbigay ng karagdagang mga path ng koneksyon sa Organization A.

Stealth at Panlilinlang: Ang Paggamit ng mga Pamamaraan sa Pamumuhay-off-the-Land

Maingat na binura ng mga hacker ang kanilang mga track, na ginagamit ang katutubong Cipher.exe tool ng Microsoft—isang lehitimong utility na karaniwang ginagamit para sa secure na pagtanggal ng data. Ito ay minarkahan ang unang pagkakataon na naranasan ni Volexity ang Cipher.exe na inabuso sa ganoong paraan, na binibigyang-diin ang makabagong diskarte ng grupo.

Bukod pa rito, lubos na umasa ang grupo sa mga diskarteng "living-off-the-land", na kinabibilangan ng pagsasamantala sa mga built-in na tool at lehitimong software upang maiwasan ang pagtuklas. Ang mga ganitong pamamaraan ay higit na nagpapahirap para sa mga tagapagtanggol na ipatungkol o tukuyin ang malisyosong aktibidad.

APT28: Isang Kilalang Manlalaro sa Cyberespionage

Bagama't iniwan ng mga paunang pagsisiyasat ang Volexity na hindi sigurado sa mga may kasalanan, kinumpirma ng kasunod na ulat mula sa Microsoft noong 2024 na ang mga taktika ay nagtataglay ng mga tanda ng Forest Blizzard—isang grupo na sinusubaybayan din bilang APT28, Fancy Bear, o Sofacy. Ang APT28 ay isang kilalang Russian cyberespionage unit na may mahabang kasaysayan ng pag-target sa mga geopolitical na kalaban .

Sa kasong ito, nilalayon ng mga umaatake na i-access ang sensitibong data na nauugnay sa Ukraine, dahil naganap ang paglabag ilang sandali bago ang pagsalakay ng Russia sa bansa noong 2022.

Isang Bagong Uri ng Proximity Attack

Ang pinagkaiba ng Nearest Neighbor Attack ay ang talino nito. Ang mga tradisyunal na operasyong malapit sa pag-access ay kadalasang nangangailangan ng mga umaatake na pisikal na malapit sa kanilang mga target, na nagdaragdag ng panganib ng pagkakalantad. Gayunpaman, ginagamit ng paraang ito ang mga nakompromisong device sa mga kalapit na lokasyon upang makamit ang parehong mga bentahe na nakabatay sa malapit nang hindi nanganganib sa pisikal na presensya.

"Ang pag-atake na ito ay epektibong katumbas ng isang malapit na operasyon sa pag-access, ngunit ang panganib na pisikal na matukoy o makulong ay inalis," ipinaliwanag ni Volexity. Ang diskarte ay nagpapakita ng pagiging maparaan at determinasyon ng mga modernong pangkat ng APT.

Mga Implikasyon para sa Cybersecurity: Ang Mga Nakatagong Panganib ng mga Wi-Fi Network

Ang Nearest Neighbor Attack ay nagsisilbing matinding paalala na ang mga Wi-Fi network ay kadalasang nananatiling isang hindi napapansing kahinaan sa mga diskarte sa cybersecurity. Bagama't ang mga organisasyon ay namuhunan nang malaki sa pag-secure ng mga serbisyong nakaharap sa internet gamit ang MFA at iba pang mga hakbang, ang parehong higpit ay hindi nailapat sa mga Wi-Fi network.

Upang ipagtanggol laban sa mga katulad na pag-atake, ang mga organisasyon ay dapat na:

• Magsagawa ng masusing pagsusuri sa seguridad ng lahat ng wireless network.
• Subaybayan ang mga hindi awtorisadong device na nakakonekta sa mga Wi-Fi network.
• Limitahan ang pag-access sa mga kritikal na system mula sa mga koneksyon sa Wi-Fi hangga't maaari.
• Magpatupad ng malakas na pag-encrypt ng Wi-Fi at regular na i-update ang mga kredensyal sa pag-access.
• Sanayin ang mga empleyado na kilalanin at iulat ang hindi pangkaraniwang aktibidad sa network.

Isang Wake-Up Call para sa mga Cyber Defender

Ang Nearest Neighbor Attack ay naglalarawan kung paano patuloy na nagbabago ang mga cyberespionage group tulad ng APT28, na sinasamantala ang mga hindi napapansing kahinaan sa pagtupad sa kanilang mga layunin. Habang ang mga Wi-Fi network ay nagiging mahalaga sa mga modernong operasyon, ang pag-secure sa mga ito ay dapat tratuhin ng parehong kahalagahan tulad ng iba pang mga kritikal na system.

Ang kasong ito ay dapat magsilbi bilang isang wake-up call para sa mga organisasyon sa buong mundo na muling pag-isipan ang kanilang diskarte sa wireless na seguridad. Ang mga advanced na pagbabanta ay nangangailangan ng mga advanced na depensa, at ang halaga ng kasiyahan ay maaaring masyadong mataas.